Como evitar o bombardeio de tentativas de invasão no VPS

Isso é muito comum em provedores de servidor VPS / dedicados. Essas redes são alvos de bots e script kiddies.

Meu problema com o LFD / CSF e ferramentas similares é que esses bloqueios automáticos não são realmente necessários se você tiver uma boa segurança.

Acho que se você:

• bloqueia tudo que não estiver em uso com seu firewall
• use boas senhas
• bloquear acesso raiz direto
• manter atualizações de aplicativos do sistema operacional / web

Então essas varreduras são mais um aborrecimento do que um ataque real.

Também acho que essas ferramentas de bloqueio automático criam uma sensação de complacência. Você vê esses e-mails como "normais" e não detecta ameaças significativas.

Minha abordagem para isso não é alertar ou mesmo não bloquear automaticamente. Regras de firewall limitadoras de taxa e boas práticas de segurança tornam desnecessárias coisas como lfd.

Recomendação

Se você quiser bloquear automaticamente, eu acho que você pode configurar o CSF / LFD para não alertá-lo.

Em termos de alertas, eu sempre me pergunto. O que eu faço com essa informação? Se você não está fazendo nada com a informação, provavelmente não precisa ver. Ele será registrado se você precisar revisar um pequeno ponto para receber um e-mail sobre um bloqueio que já aconteceu.

Sim, isso é normal. Bem vindo a internet. Isso parece um log informando que seu servidor já está bloqueando eles, pois não conseguem adivinhar uma senha nas primeiras tentativas.

Como você sempre deve fazer, verifique se as senhas são strongs se elas forem necessárias. Melhor é usar apenas chaves ssh e não permitir logins de senha. Considere não permitir logins raiz para ssh.

Se você fizer essas coisas, você tem pouco com o que se preocupar. Você pode executar o ssh em uma porta não padrão. Isso não te dá mais segurança, especialmente se você estiver fazendo as coisas do parágrafo acima, mas você perceberia um declínio no número de falhas que você está vendo.